SISTEMA DE GESTION SEGURIDAD INFORMATICA

Trabajo Momento Inicial

Presentado A:
Ing. ALEXANDER LARRAHONDO NUEZ

Por:
YINETH AMPARO ROMERO HERNANDEZ
Cdigo:
Grupo: 233003_5

UNIVERSIDAD NACIONAL ABIERTA A DISTANCIA UNAD

SISTEMA DE GESTION SEGURIDAD INFORMATICA
CEAD JOSE ACEVEDO GOMEZ
Bogot, Agosto de 2015

INTRODUCCIN
El estndar de la norma ISO 27001:2013, cubre la organizacin caso de estudio con la
empresa XXXX S.A. y es un Estndar internacional, gua de anlisis, para la implementacin,
control y mantenimiento de un Sistema de Gestin de Seguridad de la Informacin, con un
grupo de requisitos a cumplir.
La versin 2013, presenta una nueva estructura del estndar definido por ISO/IEC para todas
las normas referentes a sistemas de gestin, facilitando la integracin y trabajo conjunto entre
los diferentes estndares de gestin publicados por dicha empresa. La metodologa se orienta
a procesos dentro del ejercicio, con un patrn general que se aplica a una gran cantidad de
empresas, y los diferentes tipos de negocio y activos de informacin que se puedan manejar.
La informacin de la empresa XXXX S.A, ya sea en cualquier medio contenido fsico, lgico
as como el ambiente tecnolgico en que se procesa, es uno de los activos de mayor valor
para esta empresa, su resguardo y proteccin debe ser una prioridad de seguridad. El
almacenamiento y procesamiento de la informacin, deben conservar niveles de seguridad
que garanticen Disponibilidad, Confidencialidad, Integridad, Confiabilidad.
Entre los beneficios de la implantacin de un SGSI, para esta empresa se encuentra el
fortalecimiento de mejores prcticas de seguridad de la informacin, mejoras en la
confiabilidad de los servicios ofrecidos a los clientes de la empresa, abonando confianza en
el sector como una empresa responsable de la seguridad de la informacin.

OBJETIVO GENERAL
Establecer el sistema de gestin de la seguridad de la informacin de la empresa XXXX
S.A, definiendo todos los aspectos para mantener un sistema para el tratamiento seguro de
la informacin.
OBJETIVOS ESPECIFICOS
1.
2.
3.
4.
5.

Establecer un plan para el SGSI

Elaborar los documentos exigidos por la norma NTCISO/IEC 27001:2013
Modelar los procesos del SGSI
Establecer metodologa de anlisis de riesgos, mapa de riesgos.
Establecer controles para atenuar riesgos encontrados.

ANALISIS
La Empresa
La organizacin es una empresa de capital privado de tamao medio (podemos suponer unos
100 empleados) dedicada al desarrollo, comercializacin y mantenimiento de aplicaciones
de tipo bancario basadas en tecnologas web y criptogrficas, como por ejemplo: portales de
banca electrnica para clientes finales, marketplaces con posibilidad de cerrar contrataciones,
terminales financieros, etc. Los desarrollos ms habituales se refieren a aplicaciones de
negocio bancario que interaccionan con un host / mainframe. La arquitectura de las
aplicaciones que se ofrecen a los clientes se basa en tecnologas web y siguen la estructura
de aplicaciones de tres capas (http://en.wikipedia.org/wiki/Multitier_architecture#Threetier_architecture).
La organizacin ha iniciado desde hace un ao un proyecto interno para la implantacin de
un Sistema de Gestin de la Seguridad de la Informacin y transcurrido este primer ao se
puede considerar inicialmente implantado y operativo, y listo para ser auditado.
Respecto a su estructura organizativa En la documentacin del SGSI se encuentra un
organigrama actualizado de la empresa.
Planteamiento del Problema
Utilizando como base el documento donde est definida la empresa ficticia y actuando en su
papel de jefe o lder de seguridad informtica, para lo cual lo contrato la empresa debe realizar
el anlisis y proponer un documento en donde se evidencie la planeacin necesaria para llevar
a cabo la implementacin de un SGSI, en el documento deber dejar claramente definidas las
actividades necesarias para realizar de manera coherente la implementacin del SGSI
apoyndose en la normativa ISO/IEC 27001:2013.

Planeacin proyecto SGSI

Siguiendo el modelo de gestin planteado para el proyecto SGSI para la empresa XXXX, y
los requisitos para el Sistema de Gestin se enuncian a travs de elementos y subelementos,
se sigue la orientacin y la adopcin de un enfoque integral basado en procesos.
Consistente en la determinacin, gestin y control las diferentes actividades relacionadas
entre s. Que facilita el control constante de los vnculos entre los procesos individuales que
forman parte de un sistema conformado por procesos, as como sobre su combinacin e
interaccin.
Se procura la aplicacin de los requisitos establecidos en la Norma NTCISO/IEC 27001:2013
suscrita para los Sistema de Gestin de Seguridad de la Informacin, examinando y
determinando los activos crticos, riesgos y medidas adecuadas para la moderacin de los
mismos.

Se sigue el modelo PHVA aplicado a los procesos de SGSI:

1. Establecer Sistema (Planifica):
Establecer la poltica, los objetivos, procesos y procedimientos de seguridad pertinentes para
gestionar el riesgo y mejorar la seguridad de la informacin, con el fin de entregar resultados
acordes con las polticas y objetivos globales de una organizacin.
2. Monitorear y Revisar (Actuar):
Implementar y operar la poltica, los controles, procesos y procedimientos del SGSI.
3. Implementar y Operar (Verificar):
Evaluar, y, en donde sea aplicable, medir el desempeo del proceso contra la poltica y los
objetivos de seguridad y la experiencia prctica, y reportar los resultados a la direccin, para
su revisin.
4. Mantener y Mejorar (Actuar):
Emprender acciones correctivas y preventivas con base en los resultados de la auditora
interna del SGSI y la revisin por la direccin, para lograr la mejora continua del SGSI.

Imagen 1. PHVA Fuente: http://www.negociosyemprendimiento.org/2010/08/plantilla-para-aplicar-elciclo-phva-de.html

Teniendo en cuenta los numerales de la norma NTCISO/IEC 27001:2013 se construye un

cronograma.

CRONOGRAMA DE ACTIVIDADES
No

I
1

II

III

IV

VI

VII

Actividad

Anlisis Preliminar y
Planeamiento
Diagnostico Situacin
actual:
Contextualizacin
Objetivos, Anlisis

Duracin

Inicio

Fin

Responsable

30 das

01 agosto

30 agosto

Establecimiento del SGSI

Propuesta de Proyecto
30 das

31 agosto

29 septiem Equipo SGSI

30 septiem

28 septiem Equipo SGSI

Definir alcance, Poltica de

Seguridad
Definir metodologa de
evaluacin del riesgo,
identificar riesgos
Anlisis y evaluacin de
Riesgos
Identificar y evaluar
tratamiento de los riesgos.
Objetivos de control y
Controles
Implementacin y
operacin SGSI
Definir e implantar Plan de
tratamiento de riesgos.
Implementar Controles
Medicin de controles
Monitoreo y revisin del
SGSI
Auditoria de cumplimiento
de la NTCISO/IEC
27001:2013
Mantenimiento y Mejora
del SGSI
Mejoras
Acciones preventivas y
correctivas
Auditoria para
Certificacin
Presentacin de resultados
y entrega de informes
Certificacin

30 das

Equipo SGSI

Equipo SGSI
Alta Direccin

30 das

29 septiem

27 octubre

30 das

28 octubre

29 noviem

Equipo SGSI
Alta Direccin

Equipo SGSI
Alta Direccin
30 das

30 noviem

28 diciem
Equipo SGSI
Alta Direccin

BIBLIOGRAFA
CAO AVELLANEDA, J. (2009). Microsoft dando ejemplo en la nube mediante ISO 27001,
obtenido de http://seguridad-de-la-informacion.blogspot.com/2009/12/microsoft-dandoejemplo-en-lanube.html
INTENCO, Instituto Nacional de Tecnologas de la Comunicaciones. (2011). Seguridad y
Privacidad
del
Cloud
Computing.
Obtenido
de
http://www.inteco.es/file/3LeSufa2tYmC_bcRKSFfbg
ISO. (2005). ISO/IEC 27001.
INTENCO, Instituto Nacional de Tecnologas de la Comunicaciones. (2011). Implantacin
de un SGSI en la empresa
https://www.incibe.es/extfrontinteco/img/File/intecocert/sgsi/img/Guia_apoyo_SGSI.pdf